Bonjour toutes et tous,

1°) Microsoft, mots de passe et file de joie
Le 16 octobre, les listes de discussions sécurité s’agitaient et bruissaient, W2KNews rapportait derechef, et Netcraft y allait de son point de vue critique : un « senior » Microsoft venait de commettre –sur l’un des « blogs » du msdn- un papier intitulé « Pourquoi vous ne devriez plus utiliser de mot de passe de quelque forme que ce soit pour sécuriser vos réseaux … ». Avec un titre aussi provocateur, il fallait s’attendre à quelques réactions. Robert Hensing, disons le tout net, n’est pas atteint de la fièvre quarte et ne prétend pas éliminer les pirates en abattant toute protection, espérant ainsi que les casseurs de code pourraient périr d’inanition. Non, Hensing veut remplacer le « mot » de passe par une « phrase » de passe, en exploitant par exemple les capacités de « logon » de Windows 2000 et XP ( one of Microsoft's best kept secrets : 127 character password limit on Windows 2000). Une caractéristique totalement incompatible avec l’ancienne authentification Lan Man et les séquences d’identification Windows 9x soit dit en passant. En d’autres termes, l’auteur estime que la longueur de la clef vaut plus que la complexité du mécanisme de cryptage. Pour étayer son argument, notre microsofties donne l’exemple du LM Hash, le cryptage des crédences Lan Manager, dont le premier « piratage massif » fut possible grâce un utilitaire connu de tous, L0phtcrack. En combinant cette constatation et la probabilité croissante d’un nouveau type d’attaque virale distribuée –laquelle utiliserait des propriétés de partage de dictionnaires à enrichissement automatique-, l’on pourrait imaginer une monstrueuse campagne de viol télécommandé.
Des propos qui font sourire certains grands experts du cryptage, ulcèrent ceux pour qui le LM Hash représente le pire exemple à prendre –et donc la base de raisonnement la moins solide qui soit-, et exaspèrent les vendeurs de solutions utilisant des algorithmes complexes. « La notion de dictionnaires répartis permettrait également, et très efficacement, de casser des clefs excessivement longues » estiment les gourous du « distributed computing ».
Sur deux points précis cependant, Hensing a raison. Deux points qui ne sont d’ailleurs pas formellement énoncés au fil de l’article qui a mis le feu aux poudres. Sur la fragilité des algorithmes actuels tout d’abord. Les méthodes mathématiques s’affinent de jour en jour, l’optimisation des calculs ayant servi à « casser » SHA-1 dernièrement (voir plus « simplement » le MD5) laissent penser que les « temps de décryptage » lors d’une attaque deviendront de plus en plus brefs. S’ajoute à ceci les promesses de certains mathématiciens qui travaillent sur de nouvelles fonctions polynomiales, fonctions destinées à déterminer encore plus rapidement un nombre premier… une étape nécessaire dans la détermination des « collisions ». Le risque de voir se simplifier les cassages de codes existe. Simplification très relative pour le commun des mortels, autrement dit l’humain normalement constitué qui maîtrise les 4 opérations nécessaires à l’obtention du « Compte est Bon » une fois tous les 4 tirages. Le second argument « massue » de la diatribe Hensing, la « longueur » du mot de passe, est plus ou moins confirmé par une technique : le cryptage unique monopasse, alias le « one time pad », qui utilise une clef aussi longue que le texte à crypter. Ou l’inverse. Bien que peu pratique, le « one time pad » est quasiment inviolable. Mais de là à dire que c’est LA solution idéale, c’est peut-être aller vite en besogne.
En attendant que se calme la tempête dans ce verre d’eau cryptologique, Hensing modifie son blog, ajoute quelques liens vers diverses ressources documentaires, et promet de revenir sur le sujet avec des arguments étayés par des spécialistes de la chose. Reste que son propos initial est fondé : que l’on soit sous Linux, Windows, XP ou en face de n’importe quel logiciel nécessitant un mot de passe, l’usage intensif de « toto », « passe », du prénom de l’intéressé voir du sobriquet de son poisson rouge –Eric the Fish*- est à proscrire à tout prix. Ajoutons que l’utilisation d’un mot de passe aussi complexe soit-il ne sert à rien si ce même mot est utilisé pour toutes les crédences à présenter, y compris celles des comptes « on line » transitant sur le réseau public.